Brechas de seguridad: quien debe hacer frente a la sanción de la AEPD

Desde la implantación del Reglamento UE 2016/619 General de Protección de Datos (RGPD), el pasado 25 de mayo 2018, las empresas tienen la obligación legal de ejercer la proactividad en materia de protección y custodia de los datos personales para evitar brechas de seguridad.

Según el informe de la AEPD de Junio 2019, las brechas de seguridad más recurrentes tienen su origen en los proveedores de servicios. Es decir, son los encargados de tratamiento los que propician mayor número de sanciones. De entre los encargados de tratamiento, los más sancionados son los que tratan datos relativos a la salud de los empleados del Responsable de tratamiento. Las mutualidades médicas.

Cuando una empresa en su categoría de Responsable de tratamiento contrata un proveedor de servicios, especialmente si los servicios van a implicar el tratamiento de datos sensibles, debe seguir un cuidadoso rigor antes de firmar el correspondiente contrato al uso. Será la empresa contratante, quien en caso de sanción ante la AEPD deberá responder por los errores cometidos por su proveedor. Primará el principio legal de culpa in eligendo y culpa in vigilando.

Auditoría previa para evitar brechas de seguridad

Es por ello que la tarea de contratar un nuevo proveedor de servicios no debe tomarse a la ligera. Se ha vuelto imprescindible realizar una auditoría previa que nos permita, siempre, conocer la situación real en materia de seguridad y las garantías que ofrece nuestro potencial encargado de tratamiento.

Además de lo anterior, cabe hacer hincapié en la revisión de los contratos de encargo y prestación de servicios. Este punto es verdaderamente crítico. En demasiadas ocasiones, las empresas firman los contratos de encargo de tratamiento sin reparar en las cláusulas de exoneración de responsabilidad y limitación que pueden contener. La importancia de elegir un proveedor que disponga de una buena póliza de seguros de responsabilidad civil o de ciber-riesgo, nos puede salvar de la ruina.
Por ello, antes de contratar a un nuevo proveedor, conviene asesorarse por  un equipo especialista en Protección de Datos. Seleccionar los proveedores, auditarlos y someterlos a un proceso de homologación previa es una inversión que ninguna empresa debería obviar.

En Auris Advocats tenemos todas las herramientas para acompañar en todo lo referente a la Protección de Datos y al cumplimiento de la normativa que la regula a toda empresa que lo necesite.

Laura Bachs
laura@aurisadvocats.com

Especialidades:
Derecho de las Nuevas Tecnologías, Protección de Datos y Derecho Procesal.

Leave a Reply

Your email address will not be published.